Reportlab 3.5.52

CPE Details

Reportlab 3.5.52
reportlab
reportlab
3.5.52
2021-07-15
16h31 +00:00
2021-07-16
15h38 +00:00
CPE NVD
Alerte pour un CPE
Restez informé de toutes modifications pour un CPE spécifique.
Gestion des notifications

CPE Name: cpe:2.3:a:reportlab:reportlab:3.5.52:*:*:*:*:*:*:*

Informations

Vendor

reportlab

Product

reportlab

Version

3.5.52

Related CVE

Open and find in CVE List

CVE ID Publié Description Score Gravité
CVE-2023-33733 2023-06-04 22h00 +00:00 Reportlab up to v3.6.12 allows attackers to execute arbitrary code via supplying a crafted PDF file.
7.8
Haute
CVE-2020-28463 2021-02-18 16h00 +00:00 All versions of package reportlab are vulnerable to Server-side Request Forgery (SSRF) via img tags. In order to reduce risk, use trustedSchemes & trustedHosts (see in Reportlab's documentation) Steps to reproduce by Karan Bamal: 1. Download and install the latest package of reportlab 2. Go to demos -> odyssey -> dodyssey 3. In the text file odyssey.txt that needs to be converted to pdf inject 4. Create a nc listener nc -lp 5000 5. Run python3 dodyssey.py 6. You will get a hit on your nc showing we have successfully proceded to send a server side request 7. dodyssey.py will show error since there is no img file on the url, but we are able to do SSRF
6.5
Moyen
Les informations affichées sur CVE Find proviennent de plusieurs sources de référence rigoureusement sélectionnées. Les données CVE sont fournies par MITRE Corporation et la National Vulnerability Database (NVD). Le catalogue des vulnérabilités activement exploitées (KEV) provient de la Cybersecurity and Infrastructure Security Agency (CISA), tandis que les scores EPSS sont issus de FIRST.org. Enfin, les données relatives aux faiblesses logicielles (CWE) et aux schémas d'attaque courants (CAPEC) sont maintenues par MITRE Corporation, et les informations sur les configurations logicielles et matérielles (CPE) proviennent du NVD.